能力值:
( LV8,RANK:120 )
|
-
-
2 楼
ZwReadProcessMemory 
额。。。没看到无hook ,这就不懂了
|
能力值:
( LV5,RANK:60 )
|
-
-
3 楼
不可能,除非整个系统在你的虚拟机里面
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
关键内存不可读了。 你自己的怎么放行~ 特定的时间点放行? 不靠谱吧。
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
本进程读会有异常,然后异常处理的时候判断是本进程线程读取重新设置内存属性--〉重新读--〉设置回内存属性,否则就是over
|
能力值:
![]()
(RANK:10 )
|
-
-
6 楼
抛开“VirtualProtectEx”这个函数不说,这样如果数据被频繁交换的话,效率会较低很多,没什么意义
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
本进程读会有异常,然后异常处理的时候判断是本进程线程读取重新设置内存属性--〉重新读--〉设置回内存属性,否则就是over
=================
这个方法只能让别人不能读,而不是检测别人有没有读,因为别人读的异常应该是在别人的进程,而不是本地进程,好了算我没说,大家有没有什么方法?
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
对啊。 这里面就有一个时间差。
在你设置的这个时间点就可以读的。 。 我在另外一个进程不断的读,忽略掉这部分的异常。 还是可以读出来的。 因为关键数据你肯定也是频繁用的。
所以这个应该不靠谱。
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
难首LZ想让进程卡卡的吗,又读又改。
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
要破解这种保护太容易啦,直接hook NtProtectMemory,让只读属性失效就可以了
|
能力值:
( LV3,RANK:20 )
|
-
-
11 楼
依我的认识,这个除非在内核里下断点,并且用内核级调试器捕捉异常,,在r3 下对这个 无能为力。
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
把变量加密了 让他读又何妨
|
能力值:
![]()
(RANK:50 )
|
-
-
13 楼
是可以通过修改内存保护属性的方法构造“陷阱”来探测来自其它进程的访问,但是如果纯粹为了阻止ReadProcessMemory()的话,就显得太麻烦了。
要达成这一目的,必须修改系统本身的页面异常处理例程,并且会影响性能(对于来自本进程的访问还得放行),还不如直接采用其它方法劫持NtReadVitrualMemory
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
怎么样构造“陷阱“,能详细说下吗,我想要的就是探测而不是阻止,因为肯定阻止不了
|
能力值:
![]()
(RANK:50 )
|
-
-
15 楼
最简单的一种,把该地址所在页的缺页标志设置上,然后hook系统的页错误处理流程……
|
|
|
|
